注册中心|证书证书证书证书证书证书证书
申请审核生成签发存储发布注销
OCSP在线证1
fSOCSP简易在1
LDAP轻量级
L书状态查询丿
[线证状态查询J
目录访问
ETCA数字证书认证系统
图3-1ETCA数字证书认证系统功能组成
密钥管理系统(KMC)可为多个CA系统产生用户加密密钥,满足CA系统签发用户加密证书的需要。
通过在线的方式满足CA系统对密钥的需求,实时响应各CA系统提取密钥对的请求。
证书签发系统(CA)负责生成、签发数字证书和证书撤销列表。
证书管理系统(RA)是证书认证系统中实现证书的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制系统。
证书/CRL存储发布系统负责数字证书、证书撤销列表的存储和发布。
根据应用环境的不同,证书/CRL存储发布系统采用数据库或目录服务方式,实现数字证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务。
ETCA使用LDAP目录服务方式,采用主、从目录服务器的结构以保证主目录服务器的可靠性。
3.2产品功能组件
3.2.1密钥管理中心(KMC)
密钥管理中心,简称KMC,是ETCA数字证书认证系统的基础组成部分。
主要负责密钥的管理:
包括密钥的产生、分发、更新、备份/恢复、归档、销毁
等的管理。
ETCA采用国家密码管理局规定的主机加密服务器实现密钥对的生成。
采用SPKM安全通信协议与证书签发中心进行数据通信。
密钥管理主要负责接收、审核来自证书签发中心的密钥申请,调用备用密钥库中的密钥发送给证书签发中心。
同时,监控备用库中密钥的数量,根据策略生成一定数量的密钥进行补充,并且在密钥生成、分发、更新、废除等操作时,负责对各种密钥库进行相应的维护。
密钥管理类型包括密钥管理中心主密钥管理、证书签发中心密钥管理和用户密钥管理
密钥管理相关功能如下:
1)密钥的生成
批量生成高强度的用户加密密钥对,生成后的密钥以密文保存在数据库中。
2)密钥的分发
证书是密钥分发的一种有效方式,用户密钥生成后发送给证书签发中心,由证书签发中心完成对包含密钥的证书的签发和管理。
KMC可以保证用户密钥从
密钥的生成到将证书的签发,并与用户私钥一起存储到用户证书存储介质中整个过程的安全性。
3)密钥备份与恢复
KMC提供对各系统管理员密钥和用户加密密钥的安全备份和恢复功能,可以将各种密钥通过加密手段安全保存到密钥备份库,当需要时可以从备份库中将所需密钥恢复出来,防止由于密钥丢失或损坏等原因造成损失。
4)密钥更新
密钥的更新包括根密钥的更新、各级证书签发中心密钥的更新、服务器密钥的更新和用户密钥的更新等。
在根密钥和各级证书签发中心密钥的更新设计中需要考虑到旧密钥到新密钥的过渡中对已签发证书的影响,保证在密钥更新过程中,旧密钥签发的、未到期用户密钥的有效性。
5)密钥归档
密钥更新时需将旧密钥归档,形成用户密钥的历史信息。
发生纠纷时,可以根据系统提供的信息进行处理。
归档的密钥也可以进行恢复。
6)密钥查询
设置好相关查询条件,查询符合条件的在用密钥相关信息。
7)密钥销毁
密钥管理中心对已经失去作用的密钥提供销毁功能,彻底将这些密钥从密钥
库中删除,并保证被删除密钥的不可恢复,保证整个体系的安全。
8)密钥池
密钥管理系统具备密钥池服务功能。
系统预先生成一批密钥对并通过安全机制存放在密钥数据库系统中,当证书签发中心申请密钥时,系统从密钥数据库系统中获取密钥解密后交给证书签发中心,以提高系统的服务效率。
322签发中心(CA)
证书签发中心,简称CA,是PKI/CA体系的核心。
提供证书的签发和管理功能,代表用户向密钥管理中心发出密钥产生、恢复请求,为用户签发证书。
3.2.2.1.证书管理
证书管理主要包括证书的签发、延期、更新、冻结、解冻、证书废除、证书恢复、证书查询、证书实体查询及证书撤销列表的发布等操作。
1)证书签发
系统可签发各种实体证书。
2)证书延期
能够根据要求延期证书。
包括由证书注册审核中心系统发起的证书延期功
能;由用户发起的在线证书延期申请功能
3)证书更新
能够根据要求,实现证书的更新。
包括证书用户信息更新,用户的密钥的更
新等。
4)证书的冻结和解冻
该功能主要由管理方(证书注册审核中心系统操作员、证书签发中心管理员
等)发起,对证书进行冻结,使证书列入黑名单,暂时因为失效而无法使用;同
时,管理方也可对被冻结的证书进行解冻操作,使该证书恢复正常的使用功能。
5)证书废除
吊销实体证书,分为证书签发中心强制废除和用户申请废除。
由于以下原因,证书应该被作废:
密钥泄密。
证书的私钥泄密,或者怀疑泄密。
为防止错误使用或被盗用,其对应的证书应该被作废。
系统签发的CRL将指出证书未泄密的最后日期。
从属变更。
某些关于证书的信息变更,但不怀疑泄密。
密钥已被取代。
旧密钥对已被新密钥对取代,但不怀疑泄密。
终止使用。
该密钥对已不再用于原来的用途,但不怀疑泄密。
暂时不使用。
证书持有者由于某种原因短期内无法使用证书。
未说明的原因。
因为不同于上述分类中的任何原因,该密钥对不再需要。
当一个证书作废时,必须有上述六个原因之一。
6)证书恢复
证书签发中心根据系统策略,由证书注册审核中心系统管理员将废除原因为
“暂时不使用”的已废除的用户证书进行恢复操作。
注:
实体证书包括个人用户证书,设备证书,站点证书、代码签名证书等。
7)证书实体查询
系统支持证书实体查询功能,用户可以通过查询条件可以查询出符合条件的证书,并可将证书(公钥证书)保存到本地。
8)证书注销列表发布
CA服务器可以根据发布策略定期签发标准格式的证书注销列表,发布方式可以为文件方式或者目录服务方式,发布周期可以由管理员灵活定制。
证书注销列表的发布采用分布点策略,保证证书注销列表的大小在指定的范围内,方便用户查询和下载。
3.222.模板管理
ETCA自带十几种标准证书模板及标准证书扩展域,满足大多数的证书签发
需求。
同时系统支持自定义证书模板和自定义扩展域,用户可以灵活定制各种证
书模板,从而签发出满足不同需求的数字证书。
证书模板管理
证书模板用于定义证书的有效期、密钥类型、密钥长度、是否需要发布、发布的方式、扩展域及扩展域的值等信息。
用户可以根据实际情况自由组合证书相关内容,自定义各种类型的证书模
板,并对其加以管理。
主要功能有:
1)浏览模板
列出当前系统中定义的所有证书模板的详细信息
2)添加模板
为系统增加一个证书模板的定义。
3)修改模板
修改系统中已经存在的一个证书模板。
4)删除模板
删除一个已经定义好的但是还没有被使用的证书模板。
5)注销模板
注销已经被使用过的一个证书模板,该证书模板以后将不能再使用。
自定义扩展域管理
用户可以根据自己的实际需要自定义证书扩展域,并应用于证书模板之中。
1)浏览自定义扩展
列出当前系统中定义的所有自定义扩展域,并可以查看详细信息。
2)添加自定义扩展
为系统增加一个自定义扩展域的定义。
3)修改自定义扩展
修改已经存在的一个自定义扩展域。
4)删除自定义扩展
删除一个已经定义好的但是还没有被某个证书模板使用的自定义扩展域。
5)注销自定义扩展
注销已经被使用过的一个自定义扩展域,以后创建证书模板的时候将不再使用该扩展
3.223.
用户服务
个人证书管理服务
签发中心可面向用户提供用于个人证书管理的客户端软件,能帮助用户管理
和维护自己的数字证书,同时能提供个人证书定制服务;软件的管理界面友好、操作简单,方便用户使用。
用户证书统计报表服务
签发中心可自动搜集关于证书的请求、状态等信息,并加以必要的分析和统计,形成可视报表,以便响应用户的服务请求。
用户证书查询服务
可对用户证书基本信息、附加信息、自定义扩展项信息等进行查询,查询支持海量数据分页处理。
用户服务功能的扩展
签发中心可根据用户业务需求及个性化需求,方便的增加新的服务功能模块。
3.2.3注册中心(RA)
证书注册审核中心,简称RA,负责证书申请、审核、注销、更新、下载等服务,是签发系统的对外服务窗口,是签发中心的证书发放、管理等业务的延伸。
主要负责所有证书申请者的信息录入、审核等工作,同时对发放的证书完成相对应的管理功能
323.1.
用户管理
注册用户
用户可以在线地进行注册,注册中心系统操作员也可以代用户进行注册操
作。
注册用户时须提供必要的用户信息。
批量注册用户
注册中心系统操作员可以将准备好的一批用户信息注册到系统中去。
这一功
能适用于将现有的用户信息导入到系统中。
注销用户
用户可以在线地将自己从系统中注销,注册中心系统操作员也可以代普通用户进行注销操作。
更新用户
用户可以在线地更新自己的注册信息,注册中心系统操作员也可以代用户进行更新操作。
用户归档
系统可对用户信息进行归档处理。
审核用户管理操作
根据应用场合的要求,需要对注册用户、批量注册用户、注销用户、更新用
户操作进行审核,以判断所提供的用户信息及操作本身的正确性和合法性。
审核
工作由证书注册审核中心系统审核员完成。
3232证书管理
证书申请
RA提供基于WEB的申请方式,简单易用,帮助用户方便、安全、快捷的进行证书申请。
用户可以根据自己的需要选择相应的证书模板进行证书申请操作,如果申请通过审核,系统将返回下载证书所需的凭证(参考号和授权码)。
RA提供在线和离线两种证书申请方式。
在线方式允许申请者通过网络登录
到注册系统申请证书;离线方式要求申请者到指定的注册机构申请证书。
申请者
注册成功后可以在线地向系统提出证书申请,以请求注册审核中心系统为其签发证书。
证书注册审核中心系统操作员也可以代用户发出这样的证书申请操作。
用户身份审核
系统提供在线和离线两种申请者身份审核方式。
在线方式允许审核员通过证书注册审核中心系统与相关权威机构的应用系统互联,对证书申请者进行身份审核;离线方式要求审核员根据证书申请用户所提供的证明材料对用户的身份进行现场审核,并通过证书注册审核中心系统进行相关的验证。
审核过程中,可根据实际的需求,采取自动审核或手动审核两方式:
自动审核,是指当用户申请证书时,录入用户信息后,即认定申请信息审核通过;手工审核则要求审核员对申请证书的用户进行申请信息的核对。
签发证书
根据用户提出的证书申请,证书注册审核中心系统操作员可以为该用户签发证书。
系统需要同证书签发中心交互实现用户证书的签发;系统也需要通过证书
设备将签发的证书和加密密钥写入安全介质(如USBKey、IC卡)。
证书冻结
用户可以对一些短期内不会使用的证书进行冻结操作,在冻结期间内证书被限制不可使用。
被冻结的证书可以通过解冻操作恢复使用
证书解冻
证书解冻操作是相对于证书冻结操作的,此操作将冻结的证书解冻,使得证书可以重新使用。
证书更新
系统提供证书更新功能,用户可以根据需要远程对正在使用中的证书进行有效期的更改,更新成功后,用户可以下载新的证书。
证书注销
用户可以对一些不再使用的证书进行注销操作,注销后的证书不可恢复。
系统对于有下列情况之一的用户进行证书注销:
1)密钥泄密
2)CA泄密
3)从属关系变更
4)证书被取代
5)操作终止
6)证书下载凭证(授权码)更新
对一些申请成功但是没有下载的证书,RA服务器可以为用户重新生成下载凭证(授权码),用户使用新的下载凭证进行证书下载。
证书制证
证书申请通过审核之后,用户可以通过下载凭证安全的下载证书。
系统提供基于WEB的下载方式,支持多种加密算法和密钥长度,支持文件、智能卡、USB-KEY等多种存储介质。
证书查询
系统提供证书信息查询功能,用户可以通过查询条件查询出符合条件的证书信息,支持精确查询。
系统还提供申请信息查询功能,用户可以通过查询条件查询出符合条件的申请信息,支持精确查询。
用户信息维护
系统提供按照用户自定义的格式产生用户信息,并可以对用户信息进行添加、删除、修改等维护方式。
企业信息维护
系统提供按照用户自定义的格式产生企业信息,并可以对企业信息进行添加、删除、修改等维护方式。
324存储发布系统(CRL)
存储发布系统与签发中心、注册中心连通。
实现数字证书的实时发布,并对发布后的证书进行存储,以备随时查阅与调取。
存储发布系统还负责证书撤销列表(CRL)的发布与存储。
每个证书都被指定了一个有效期,当使用的证书到了使用期限时,系统会将该证书的序列号列入CRL里。
同时也有其他原因可做为证书撤销的理由:
证书密钥被泄露
证书遭泄露
证书与其他证书的从属关系改变
证书被其他证书取代证书所关联业务中止
存储发布系统提供对证书在线状态的查询接口,用户可以通过该接口获取证书有效性的详细信息。
每个证书的撤销都能即时反应到存储发布系统中。
325在线证书状态查询系统(OCSP)
在线证书状态查询系统,为证书应用提供实时的证书状态查询服务。
OCSP服务系统完全遵照RFC2560标准实现,保证了标准性,任何符合RFC2560的产品都可以方便的连接OCSP服务进行证书状态查询。
OCSP服务通过CA的镜像数据库查询证书状态,这样比查询CRL(证书注销列表)更可靠、更及时,提供给证书应用的信息更丰富。
OCSP服务支持为多个不同的CA系统向用户提供统一的数字证书状态验证服务,证书应用向OCSP服务查询证书状态时,可以查询不同CA颁发的证书状态。
OCSPToolkit封装证书应用的证书状态查询请求,然后发送给OCSP服务,并将从OCSP服务响应中解析的证书状态,返回给证书应用。
OCSPToolkit为证书应用提供简单、易用的用户接口。
减轻了证书应用开发者的工作量。
3.2.6目录服务系统(LDAP)
目录服务是一种专门的数据库,它服务于各种应用程序,包括LDAP(轻量
级目录访问协议)目录和基于X.500的目录。
这些目录都是通用的标准的目录。
目录服务系统主要负责对外发布证书服务,对外发布证书信息,证书撤消列表CRL,为应用系统提供在线的查询服务等功能。
ETCA数字证书认证系统支持
国内外主流的各种目录服务产品,包括IBMTivoliDirectoryServer、NovellDirectoryServer、OPENLDAP软件、iPlanetDirectoryServer、微软AD系统等。
ETCA数字证书认证系统目录服务组件的主要参数如下:
支持树状信任模式,能够满足使用统一离线根CA中心的需要,能够满
足独立部署二级目录的要求;
遵循目录访问协议LDAPv2和v3国际标准,符合x.500规范,并支持
与IBMTivoliDirectoryServer、
升级会员 